• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Limitazione dell'accesso ai parametri Parameter Store mediante policy IAM
È possibile limitare l'accesso ai AWS Systems Manager parametri utilizzando AWS Identity and Access Management (IAM). Più precisamente, è possibile creare policy IAM che limitano l'accesso alle seguenti operazioni API:
+ [DeleteParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameter.html)
+ [DeleteParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeleteParameters.html)
+ [DescribeParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeParameters.html)
+ [GetParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)
+ [GetParameters](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)
+ [GetParameterHistory](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameterHistory.html)
+ [GetParametersByPath](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParametersByPath.html)
+ [PutParameter](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutParameter.html)
Quando si utilizzano policy IAM per limitare l'accesso ai parametri di Systems Manager, si consiglia di creare e utilizzare Policy IAM *restrittive*. Ad esempio, la policy seguente consente all'utente di effettuare una chiamata alle operazioni API `DescribeParameters` e `GetParameters` per un set limitato di risorse. Ciò significa che l'utente può ottenere informazioni e utilizzare tutti i parametri che iniziano con `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
**Importante**
Se un utente ha accesso a un percorso, accederà a tutti i livelli del percorso. Ad esempio, se un utente è autorizzato ad accedere al percorso `/a`, accederà anche a `/a/b`. Anche se a un utente è stato esplicitamente negato l'accesso in IAM al parametro `/a/b`, potrà comunque chiamare l'operazione API `GetParametersByPath` in modo ricorsivo per `/a` e visualizzare `/a/b`.
Agli amministratori fidati è possibile concedere l'accesso a tutte le operazioni API relative ai parametri di Systems Manager mediante una policy simile a quella riportata nell'esempio seguente. Questa policy concede all'utente l'accesso completo a tutti i parametri di produzione che iniziano con `dbserver-prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:GetParameterHistory",
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/dbserver-prod-*"
},
{
"Effect": "Allow",
"Action": "ssm:DescribeParameters",
"Resource": "*"
}
]
}
```
------
## Negare le autorizzazioni
Ogni API è univoca e dispone di operazioni e autorizzazioni distinte che può consentire o negare singolarmente. Un rifiuto esplicito in una policy sostituisce il permesso.
**Nota**
La chiave default AWS Key Management Service (AWS KMS) dispone `Decrypt` dell'autorizzazione per tutti i principali IAM all' Account AWS interno di. Se desideri avere livelli di accesso diversi ai parametri `SecureString` nel tuo account, non è consigliabile utilizzare la chiave di default.
Se si desidera che tutte le operazioni API recuperino i valori dei parametri al fine di avere lo stesso comportamento, è possibile utilizzare un modello come `GetParameter*` in una policy. L'esempio seguente mostra come negare `GetParameter`, `GetParameters`, `GetParameterHistory` e `GetParametersByPath` per tutti i parametri che iniziano con `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:GetParameter*"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
Nell'esempio seguente viene illustrato come negare alcuni comandi consentendo all'utente di eseguire altri comandi su tutti i parametri che iniziano con `prod-*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:DeleteParameters",
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:GetParameterHistory"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
}
]
}
```
------
**Nota**
La cronologia dei parametri include tutte le versioni dei parametri, inclusa quella attuale. Pertanto, se a un utente viene negata l'autorizzazione per `GetParameter`, `GetParameters`, e `GetParameterByPath` ma è consentito il permesso per `GetParameterHistory`, possono vedere il parametro corrente, inclusi i parametri `SecureString`, tramite `GetParameterHistory`.
## Consentire l'esecuzione solo di parametri specifici sui nodi
È possibile controllare l'accesso in modo che i nodi gestiti possano eseguire solo i parametri specificati.
Se si sceglie il tipo di `SecureString` parametro quando si crea il parametro, Systems Manager lo utilizza AWS KMS per crittografare il valore del parametro. AWS KMS crittografa il valore utilizzando una chiave Chiave gestita da AWS o una chiave gestita dal cliente. Per ulteriori informazioni su AWS KMS e AWS KMS key, consulta la *[Guida per gli AWS Key Management Service sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/)*.
È possibile visualizzarlo Chiave gestita da AWS eseguendo il comando seguente da AWS CLI.
```
aws kms describe-key --key-id alias/aws/ssm
```
L'esempio seguente consente ai nodi di ottenere un valore di parametro solo per i parametri che iniziano con `prod-`. Se il parametro è un parametro `SecureString`, il nodo decrittografa la stringa utilizzando AWS KMS.
**Nota**
Le policy dell'istanza, come nell'esempio seguente, sono assegnate al ruolo dell'istanza in IAM. Per ulteriori informazioni sulla configurazione dell'accesso alle funzionalità di Systems Manager, tra le quali come assegnare policy a utenti e istanze, consulta [Gestire le istanze EC2 con Systems Manager](systems-manager-setting-up-ec2.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/4914ec06-e888-4ea5-a371-5b88eEXAMPLE"
]
}
]
}
```
------
## Autorizzazioni IAM per l'utilizzo di chiavi AWS predefinite e chiavi gestite dal cliente
Parameter Store`SecureString`i parametri vengono crittografati e decrittografati utilizzando chiavi. AWS KMS Puoi scegliere di crittografare i `SecureString` parametri utilizzando una chiave KMS predefinita AWS KMS key o la chiave KMS predefinita fornita da. AWS
Quando si utilizza una chiave gestita dal cliente, la policy IAM che concede a un utente l'accesso a un parametro o a un percorso di parametro deve fornire autorizzazioni `kms:Encrypt` esplicite per la chiave. Ad esempio, la seguente politica consente a un utente di creare, aggiornare e visualizzare `SecureString` i parametri che iniziano con `prod-` la e specificata Regione AWS . Account AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:GetParameter",
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/prod-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE"
]
}
]
}
```
------
**Nota**
L'autorizzazione `kms:GenerateDataKey` è necessaria per creare parametri avanzati crittografati utilizzando la chiave gestita dal cliente specificata.
Al contrario, tutti gli utenti all'interno dell'account cliente hanno accesso alla chiave gestita AWS predefinita. Se si utilizza questa chiave predefinita per crittografare i parametri `SecureString` e non si desidera che gli utenti utilizzino i parametri `SecureString`, le policy IAM devono negare esplicitamente l'accesso alla chiave predefinita, come illustrato nell'esempio seguente.
**Nota**
È possibile individuare l'Amazon Resource Name (ARN) della chiave predefinita nella console AWS KMS nella pagina [chiavi gestite AWS](https://console.aws.amazon.com/kms/home#/kms/defaultKeys) . La chiave predefinita è identificata `aws/ssm` nella colonna **Alias**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/abcd1234-ab12-cd34-ef56-abcdeEXAMPLE"
]
}
]
}
```
------
Se è necessario un controllo di accesso dettagliato sui parametri `SecureString` del proprio account, è necessario utilizzare una chiave gestita dal cliente per proteggere e limitare l'accesso a tali parametri. Si consiglia inoltre di AWS CloudTrail utilizzarlo per monitorare le attività `SecureString` dei parametri.
Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *Guida per l'utente IAM*
+ [Utilizzo delle policy chiave AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *
+ [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*